批量in查询中可能会导致的sql注入问题

有时间我们在使用in或者or进行查询时，为了加快速度，可能会经常这样来使用sql之间的拼接，然后直接导入到一个in中，这种查询实际上性能上还是可以的， 例如如下： update keyword set stats=? where taskid in (+CollUtil.toString(list, ,)+) 当然这个in里

有时间我们在使用in或者or进行查询时，为了加快速度，可能会经常这样来使用sql之间的拼接，然后直接导入到一个in中，这种查询实际上性能上还是可以的，

例如如下：

update keyword set stats=? where taskid in ('"+CollUtil.toString(list, "','")+"') "

当然这个in里面包含的是一些列的数据（）但是如果这些数据中包含一些sql比较敏感的关键词或者符号就会出现sql注入，例如如果in查询中出现一个关键词为（百度' ）这个单引号在sql中就是比较敏感的字符，这就会导致你的这条语句执行失败。如果我们在写代码时如果不注意这些问题，就会引起一些黑客们的攻击，例如：如果某个黑客搞个语句，里面含有MySQL识别的注释符号，然后黑客通过拼接好后 直接执行一个delete操作，那么你的数据库系统就这样完蛋了。

实际上面对这些问题，我们最好不要通过自己排除的方式来，因为很可能出现我们意想不到的情况出现，所以我们在进行无论查询或者更改插入之类的操作时，最好使用问号表达式，这样能够防注入。

但是如果有些特殊情况下，我们的系统使我们内部使用，我们也可以是适当的使用in或者or查询，但是我们在in（）这个括号里面要注意数量问题，这个问题因不同的版本in中包含的量估计都是不一样的。我们最好可以通过一些算法来控制这个量，最好是自己做一下压力测试，看看到底你的in中能够包含多大的数据量，当然我曾经做过压力测试，in里面可以包含16W多，当时我是包含了64个字长的英语字母和汉字，在进行操作时，可能会因为字段的长度不同，速度肯定都会不同。

 int size = ids.size();  
        int loopNum = (size%1000==0)?(size/1000):(size/1000 + 1);  
        if(size==0){  
            return;  
        }  
        for(int cp=1;cp= size){  
                endRecord = size;  
            }  
            // 分批进行任务获取  
            List list = ids.subList(beginRecord, endRecord);  

当然我这只是一个分组算法的实例，我们平常在使用这种性能不是太好的查询是也要注意分组进行，如果不这样，MySQL可能会报一些packet过大的异常或者请检查你的版本异常，如果你发现你的sql语句没有问题，这时你就该应该注意到这个问题了。

还有一点，我们在一个函数中进行写sql语句时，如果一条sql能够搞定，我们也尽量不要使用第二条，因为数据库的打开与关闭是非常耗时的操作，所以我们在使用编程语言进行写程序时，要尽量使用我们工具类中给我们提供的一些类，例如：

  StringBuffer buffer = new StringBuffer();  
            buffer.append("update keyword set stats=? ");  
            paramsList.add(stats);  
            if(stats==Stats.pend.getCode()){  
                buffer.append(",pend=? ");  
                paramsList.add(new Date());  
            }  
            buffer.append("  where taskid in ('"+CollectionUtil.toString(list, "','")+"') ");

这样如果在满足2条sql语句的情况下，实际上1条sql就直接搞定了。这样还能够增加代码执行的速度。特别是数据量特别大的情况下，更要减少一个函数中的sql语句，尽量使用拼接，减少数据库的打开与关闭。